护网行动（防守方）linux服务器通用安全加固指南

Posted 2023-04-09 jack-yyj

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了护网行动（防守方）linux服务器通用安全加固指南相关的知识，希望对你有一定的参考价值。

实验所属系列：Linux服务器搭建/Linux服务安全
Linux 是一个开放式系统，可以在网络上找到许多现成的程序和工具，这既方便了用户，也方便了黑客，因为他们也能很容易地找到程序和工具来潜入 Linux 系统，或者盗取 Linux 系统上的重要信息。不过，只要我们仔细地设定 Linux 的各种系统功能，并且加上必要的安全措施，就能让黑客们无机可乘。一般来说，对 Linux 系统的安全设定包括取消不必要的服务、限制远程存取、隐藏重要资料、修补安全漏洞、采用安全工具以及经常性的安全检查等。
本实验是可参考的实际操作，安全问题也不是几行命令就能预防的，这里只是 Linux 系统上基本的安全加固方法。

本实验参考资料：

通用 CentOS 6 服务器安全配置指南：

http://segmentfault.com/a/1190000002532945

让 Linux 更安全，第 3 部分: 加固系统:

http://www.ibm.com/developerworks/cn/linux/l-seclnx3/

Linux磁盘配额：http://hetianlab.com/expc.dow=exp_ass&ec=ECID172.19.104.182014120311052400001

深度解析CentOS通过日志反查入侵：

http://linux.it.net.cn/CentOS/safe/2014/0429/985.html

实验目的：

1、基本系统安全

2、用户安全

3、网络安全

实验环境：

网络拓扑见下。图：

NS1: centos 6.5 ip随机

实验步骤一

一、基本系统安全

1、保护引导过程（以Grub引导为例）

在 /etc/inittab 中添加 sp:S:respawn:/sbin/sulogin，以确保当切换到单用户模式时运行级的配置要求输入 root 密码：



防止用户使用 Ctrl-Alt-Del 进行重新引导：

      在RHEL6.X和CentOS 6.X下, 该热键的行为由'/etc/init/control-alt-delete.conf'控制。

      注释掉原来的改成：exec /usr/bin/logger -p authpriv.notice -t init "Ctrl-Alt-Del was pressed and ignored"，这个配置会在每次按下Ctrl-Alt-Del 时输出日志。

      小提示：在终端登录的情况下，看不到效果，只有在机器面前，按下键盘上的Ctrl+Alt+del键，才会在/var/log/message里面看到输出日志

2、关闭不使用的服务

      首先查看哪些服务是开启的：


      关闭邮件服务，使用公司邮件服务器：


      关闭nfs服务及客户端：



      当然还有其他的，根据你服务器的实际情况来关闭不必要的服务。

3、增强特殊文件权限：

      给下面的文件加上不可更改属性，从而防止非授权用户获得权限。



注意：执行以上 chattr 权限修改之后，就无法添加删除用户了。在后面的实验过程中，如果修改不了上面设置过的文件，记得取消只读权限chattr -i。

      如果再要添加删除用户，需要先取消上面的设置，等用户添加删除完成之后，再执行上面的操作，例如取消只读权限chattr -i /etc/passwd。（记得重新设置只读）

4、强制实行配额和限制：

      Linux PAM（插入式认证模块，Pluggable Authentication Modules）可以强制实行一些实用的限制，在 /etc/security/limits.conf 文件中对此进行配置。

      谨记，这些限制适用于单个对话。您可以使用 maxlogins 来控制总额限制。limits.conf 中的条目有如下结构： username|@groupname type resource limit。

      为了与 username 区别，groupname 之前必须加 @。类型必须是 soft 或者 hard。软限制（soft-limit）可以被超出，通常只是警戒线，而硬限制（hard-limit）不能被超出。resource 可以是下面的关键字之一：

      core - 限制内核文件的大小（KB）

      data - 最大数据大小（KB）

      fsize - 最大文件大小（KB）

      memlock - 最大锁定内存地址空间（KB）

      nofile - 打开文件的最大数目

      rss - 最大持久设置大小（KB）

      stack - 最大栈大小（KB）

      cpu - 以分钟为单位的最多 CPU 时间

      nproc - 进程的最大数目

      as - 地址空间限制

      maxlogins - 此用户允许登录的最大数目

      下面的代码示例中，所有用户每个会话都限制在 10 MB，并允许同时有四个登录。第三行禁用了每个人的内核转储。第四行除去了用户 bin 的所有限制。ftp 允许有 10 个并发会话（对匿名 ftp 帐号尤其实用）；managers 组的成员的进程数目限制为 40 个。developers 有 64 MB 的 memlock 限制，wwwusers 的成员不能创建大于 50 MB 的文件。



      要激活这些限制，您需要在 /etc/pam.d/login 底部添加下面一行： session required /lib/security/pam_limits.so。

      要为文件系统启用配额，您必须在 /etc/fstab 中为相应的那行添加一个选项。使用 usrquota 和 grpquota 来启用用户配额和组配额，像下面这样：


      然后，使用 mount -a -o remount 重新挂载相应的文件系统，来激活刚才添加的选项；然后使用 quotacheck -cugvm 创建一个二进制配额文件，其中包含了机器可读格式的配额配置。这是配额子系统要操作的文件。然后使用  edquota -u username 为具体的用户配额。

      如果对磁盘配额不了解可以学习参考资料里面的“Linux磁盘配额”实验。

链接：https://www.hetianlab.com/expc.do?ec=ECID172.19.104.182015070311360700001
来源：合天网安实验室
著作权归合天网安实验室所有。商业转载请联系合天网安实验室获得授权，非商业转载请注明出处。

实验步骤二

二、用户安全

1. 禁用不使用的用户

注意：不建议直接删除，当你需要某个用户时，自己重新添加会很麻烦。也可以 usermod -L 或 passwd -l user 锁定。

示例：

注释的用户名：

注释掉的组：

2、ssh登陆安全

（1）修改ssh的默认端口22，改成如20002这样的较大端口会大幅提高安全系数，降低ssh破解登录的可能性。（注意：本实验环境不允许修改ssh端口，否则会造成服务断开）

找到SSh服务配置文件路径一般都是在 /etc/ssh这个目录下面 sshd_config 这个文件，在“# Port 22”这一行下面添加一行，内容为 port 端口号。

然后重启ssh服务即可。

（2）只允许wheel用户组的用户su切换(这里只是举例，不一定要用这个用户组名字)

其他用户切换root，即使输对密码也会提示 su: incorrect password

（3）登录超时(本实验环境不允许这样操作！！！)
用户在线5分钟无操作则超时断开连接，在/etc/profile中添加：

（4）禁止root直接远程登录(本实验环境不允许这样操作！！！)

（5）限制登录失败次数并锁定:

在/etc/pam.d/login后添加:

登录失败5次锁定180秒，根据需要设置是否包括root。
3、减少history命令记录

执行过的历史命令记录越多，从一定程度上讲会给维护带来简便，但同样会伴随安全问题。

      vi /etc/profile

      找到 HISTSIZE=1000 改为 HISTSIZE=50。

      执行 source /etc/profile生效

      或每次退出时清理history命令：history –c。

实验步骤三

三、网络安全

1、禁用ipv6

      IPv6是为了解决IPv4地址耗尽的问题，但我们的服务器一般用不到它，反而禁用IPv6不仅仅会加快网络，还会有助于减少管理开销和提高安全级别。以下几步在CentOS上完全禁用ipv6。

      禁止加载IPv6模块：

      让系统不加载ipv6相关模块，这需要修改modprobe相关设定文件，为了管理方便，我们新建设定文件/etc/modprobe.d/ipv6off.conf，内容如下：

禁用基于IPv6网络，使之不会被触发启动：

禁用网卡IPv6设置，使之仅在IPv4模式下运行：

关闭ip6tables：

重启系统，验证是否生效：

如果没有任何输出就说明IPv6模块已被禁用，否则被启用。
2、防止一般网络攻击

网络攻击不是几行设置就能避免的，以下都只是些简单的将可能性降到最低，增大攻击的难度但并不能完全阻止。

（1）禁ping

阻止ping如果没人能ping通您的系统，安全性自然增加了，可以有效的防止ping洪水。为此，可以在/etc/rc.d/rc.local文件中增加如下一行：

注意 1 后面是有空格的

或使用iptable禁ping，当然前提是你启用了iptables防火墙。

（2）防止IP欺骗

编辑/etc/host.conf文件并增加如下几行来防止IP欺骗攻击：

（3）防止DoS攻击

对系统所有的用户设置资源限制可以防止DoS类型攻击，如最大进程数和内存使用数量等。
可以在/etc/security/limits.conf中添加如下几行：

core 0 表示禁止创建core文件；nproc 128 把最多的进程数限制到20；nofile 64 表示把一个用户同时打开的最大文件数限制为64；* 表示登录到系统的所有用户，不包括root。

然后必须编辑/etc/pam.d/login文件检查下面一行是否存在：

limits.conf参数的值需要根据具体情况调整。
3、定期做日志检查

将日志移动到专用的日志服务器里，这可避免入侵者轻易的改动本地日志。下面是常见linux的默认日志文件及其用处：

具体实验截图：

HW防守 | Linux应急响应基础

0x00

引言

简单说一下，我们为什么会推出关于HW防守的文章，目前关于该行动，会发现越来越多的厂商需求该行动的人员具备分析溯源的能力了。

其中原因一是由于该行动规则的需求，溯源能力可以很好的进行攻击队画像描述，追踪到更多的信息线索，从而给防守方增加更多的该行动的分数。

二是任何产品目前都是需要人来驱动的，都有其局限性，比如日志采集的灵活度及完整性等，我们主观的收集一些信息，可以更好的辅助产品，也可以兼顾不同种类安全产品的一些边界问题。

目前已经推出windows基础篇及此篇linux基础篇试试水，方便大家进行该行动的时候查阅知识点进行基础溯源，同时也欢迎大家反馈想法与意见，如果后续效果可以的话，我们会推出一些真实脱敏的溯源加分案例进行交流。

0x01

技能树

Linux常用命令
常见日志的位置以及分析方法
熟悉常规黑客的攻击手法
常规安全事件的处置思路

0x02

linux 常用命令

查找与文本操作

1、find

根目录下所有.jsp后缀文件

find / -name *.jsp

最近3天修改过的文件

  
    
    
  
   
     
     
   find -type f -mtime -3

最近3天创建的文件

  
    
    
  
   
     
     
   find -type f -ctime -3

2、grep、strings、more、head、tail

过滤出不带有某个关键词的行并输出行号

  
    
    
  
   
     
     
   grep -nv 'root' /etc/passwd

查看根目录下含有root信息的文件，并标注行号

  
    
    
  
   
     
     
   grep -nr root /

查看根目录下后缀为.jsp .jspx文件，并从大到小排列

  
    
    
  
   
     
     
   grep -nr -v "404" ./ | grep -E ".jsp | .jspx" | more

显示文件前十行

  
    
    
  
   
     
     
   head /etc/passwd

实时展示文件内容

  
    
    
  
   
     
     
   tail -f 文件名

3、awk、sort、uniq

awk的F参数是指定分隔符，print $1意思是打印第一列，sort命令是用来排序的，uniq命令是用来把相邻的重复数据聚合到一起，加个c参数意思就是把重复次数统计出来，为什么先要用sort聚合一次呢，就是因为uniq命令只会聚合相邻的重复数据，最后那个sort命令刚才说了是用于排序的，他的n参数是以数字排序，r参数是倒叙排序

  
    
    
  
   
     
     
   awk -F " " '{print $1}' access.log| sort|uniq -c|sort -nr

案例：

我们以空格为分界线（$1为第一行）对access.log日志进行分析，筛查提取访问IP 从大到小排序，并提示访问次数。

系统状态命令

1、lsof

查看某个用户启动了什么进程

  
    
    
  
   
     
     
   lsof -u root

某个端口是哪个进程打开的

  
    
    
  
   
     
     
   lsof -i:8080

2、last、lastb、lastlog

登录失败记录：/var/log/btmp

最后一次登录：/var/log/lastlog

登录成功记录: /var/log/wtmp

3、crontab

查看计划任务是否有恶意脚本或者恶意命令

4、netstat

a参数是列出所有连接，n是不要解析机器名，p列出进程名

  
    
    
  
   
     
     
   netstat -anp

5、ps

查看进程信息

6、top

查看进程cpu占比（动态任务，可实时查看最高cpu占有率）

top

7、stat

查看某个文件是否被修改过

8、last和lastb（对应日志wtmp/btmp）

last查看成功登陆的IP（用于查看登陆成功信息）

登陆用户---连接方式---时间

lastb查看连接失败的IP（可用于查看爆破信息）

登陆用户---登陆方式---登陆IP---时间

0x03

日志分析

1、安全日志 /var/log/secure

作用：安全日志secure包含验证和授权方面信息

分析：是否有IP爆破成功

2、用户信息 /etc/passwd

内容含义：注册名、口令、用户标识号、组标识号、用户名、用户主目录、命令解释程序

分析：是否存在攻击者创建的恶意用户

3、命令执行记录 ~/.bash_history

作用：命令执行记录 ~/.bash_history

分析：是否有账户执行过恶意操作系统命令

4、root邮箱 /var/spool/mail/root

作用：root邮箱 /var/spool/mail/root

分析：root邮箱的一个文件，在该文件中包含大量信息，当日志被删除可查询本文件

5、中间件日志(Web日志access_log)

  
    
    
  
   
     
     
   nginx、apache、tomcat、jboss、weblogic、websphere

作用：记录访问信息

分析：请求次数过大，访问敏感路径的IP

位置：/var/log下 access.log文件（apache默认位置）

位置：/var/log/nginx下 access名称日志（nginx日志位置）

位置：tomcat、weblogic等日志均存放在安装路径下logs文件下

访问日志结构：访问IP---时间---请求方式---请求路径---请求协议----请求状态---字节数

6.登陆日志（可直接使用命令调取该信息，对应命令last/lastb）

位置：/var/log/wtmp #成功连接的IP信息

位置：/var/log/btmp #连接失败的IP信息

7.cron(定制任务日志)日志

位置：/var/log/cron

作用：查看历史计划任务（对该文件进行分析调取恶意病毒执行的计划任务，获取准确时间）

8、history日志

位置：~/.bash_history

作用：操作命令记录，可筛查攻击者执行命令信息

9、其他日志

redis、sql server、mysql、oracle等

作用：记录访问信息

分析：敏感操作

web日志分析思路：

寻找Webshell的方法：

1、文件内容中的恶意函数

PHP：eval(、system(、assert(

JSP：getRunTime(、 FileOutputStream(

ASP：eval(、execute(、 ExecuteGlobal（

2、Web日志中的webshell特征

Darkblade：goaction=login

JspSpy：o=login

PhpSpy：action=phpinfo

Regeorg：cmd=connect

Other：cmd=

3、贴合Web业务中的url来分析Web日志

4、每天新增的动态脚本文件

5、低频访问的脚本文件

本篇完
欢迎投稿HW防守相关文章！

关注我们看更多HW相关文章

Timeline Sec 团队

安全路上，与你并肩前行

以上是关于护网行动（防守方）linux服务器通用安全加固指南的主要内容，如果未能解决你的问题，请参考以下文章

Linux服务器通用安全加固指南

笔记整理：Linux服务器通用安全加固指南

2022护网行动 - 云服务器主机安全补充方案

2022护网行动在即，关于护网的那些事儿

HW防守 | Linux应急响应基础